1月30日に、アメリカ国立標準技術研究所(NIST)は新しいデジタルアイデンティティガイドラインのドラフトをリリースした。"過去のリビジョンからのかなりの更新"と記載されているこの新しいガイドラインには、業界のイノベーションの進展と、電子認証ガイドラインの2013年8月の発行以来進歩した脅威が反映されている。
このガイドラインを改定する動機の1つは、オバマ大統領により2014年8月に発行された大統領令であり、"デジタルアプリケーションを通じて市民の個人データにアクセスすることのできるようにしている全ての機関は、複数要素の認証と効果的なアイデンティティ保全プロセスの適切な使用"を要求している。
このガイドラインは容認可能な複数要素認証(MFA)の使用方法について記載しており、これらの要素は、個人が知っている何らかの情報(例えばパスワード)、個人が有する何らかの情報(例えば暗号鍵)、もしくは個人を特定する何らかの情報(生体データ)の組み合わせで構成される。更に、認証要素の1つとして生体データを用いる場合、個人が有する何らかの情報と組み合わせなければならない。
以前のNISTガイドラインに対するフィードバックのための呼びかけの間に、ニーモニックセキュリティの代表取締役である國米 仁氏は、生体データの安全な使用に関する勧告を提供した。彼は新しい要件がパスワードへの縮退を許可していないことを評価している。
國米 仁氏-生体認証に関する製品のユーザがセキュリティに敏感である場合には、パスワードログインを縮退手段として提供された時には生体認証を無効にするよう勧められます。パスワードのみの認証はより安全です。利便性の高さと引き換えに"パスワードだけによる認証よりも危険な"セキュリティに満足する場合のみ、ユーザは縮退パスワードと生体認証を共に用いる状態を維持することが出来るのです。
このガイドラインは2017年3月末までパブリックコメントを受け付けている。NISTは著者の交流とパブリックコメントのためにGitHubのリポジトリを活用している。ガイドラインの全文とコメントをするための手順はhttps://pages.nist.gov/800-63-
Rate this Article
- Editor Review
- Chief Editor Action